會員評等: 5 / 5
Qualys 的 Linux 安全研究人員近日發現了存在 12 年以上的「PwnKit」漏洞,所有主要 Linux 發行版本都容易受到攻擊。駭客利用該漏洞可以提升本地權限(LPE),進而直接拿到管理者權限,目前這個漏洞已經被分配為「CVE-2021-4034」,近期開始造成全球嚴重災情,相關技術文章如下:
- PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034)
- PWNKIT漏洞曝光:所有主流LINUX發行版本均受影響
- PwnKit bug endangers Linux distributions worldwide
截至本文發佈時,國內尚無太多相關新聞,從 POC 影片中可以看到,此漏洞相當容易執行,基本上只要是 Linux 作業系統無一幸免,本所資安人員強烈建議提前修補漏洞,此漏洞將比先前 log4j 漏洞更加嚴重,修補漏洞請參考上述第 3 項技術文章內文,各家 Linux 已釋出相關 patch 檔,請儘快更新。
綜計組圖資科
資安人員黃亮勳